Artykuły dotyczące tematu: Oracle

dodany: 19.07.2013 | tagi: , ,

Lipcowe biuletyny bezpieczeństwa Oracle

0

Oracle wydało nowe biuletyny bezpieczeństwa do wielu swoich produktów. Łącznie zawarto w nich aż 89 poprawek. Wszystkie aktualizacje mają status krytyczny, gdyż  wchodzą w skład pakietów CPU (z ang. Critical Path Update). Wobec tego wszyscy używający oprogramowania Oracle powinni przejrzeć poniższą listę, których wersji dotyczą biuletyny bezpieczeństwa i w razie czego bezwględnie dokonać aktualizacji:

  • Oracle Database 11g Release 2, wersje 11.2.0.2, 11.2.0.3
  • Oracle Database 11g Release 1, wersja 11.1.0.7
  • Oracle Database 10g Release 2, wersje 10.2.0.4, 10.2.0.5
  • Oracle Access Manager, wersje 11.1.1.5.0, 11.1.1.7.0, 11.1.2.0.0
  • Oracle Endeca Server, wersje 7.4.0, 7.5.1.1
  • Oracle HTTP Server, wersje 10.1.3.5.0
  • Oracle JRockit, wersje R27.7.5 oraz wcześniejsze, R28.2.7 oraz wcześniejsze
  • Oracle Outside In Technology, wersje 8.3.7, 8.4.0, 8.4.1
  • Oracle WebCenter Content, wersje 10.1.3.5.1, 11.1.1.6.0, 11.1.1.7.0
  • Oracle Hyperion BI, wersje 11.1.1.3, 11.1.1.4.107 oraz wcześniejsze, 11.1.2.1.129 oraz wcześniejsze, 11.1.2.2.305 oraz wcześniejsze
  • Enterprise Manager Plugin for Database 12c Release 1, wersje 12.1.0.2, 12.1.0.3
  • Enterprise Manager Grid Control 11g Release 1, wersje 11.1.0.1
  • Enterprise Manager Grid Control 10g Release 1, wersje 10.2.0.5
  • Oracle E-Business Suite Release 12i, wersje 12.0.6, 12.1.1, 12.1.2, 12.1.3
  • Oracle E-Business Suite Release 11i, wersja 11.5.10.2
  • Oracle Agile Collaboration Framework, wersja 9.3.1
  • Oracle Agile PLM Framework, wersja 9.3.1
  • Oracle Agile Product Framework, wersja 9.3.1
  • Oracle PeopleSoft Enterprise Portal, wersja 9.1
  • Oracle PeopleSoft HRMS, wersja 9.1
  • Oracle PeopleSoft PeopleTools, wersje 8.51, 8.52, 8.53
  • Oracle iLearning, wersje 5.2.1, 6.0
  • Oracle Policy Automation, wersje 10.2.0, 10.3.0, 10.3.1, 10.4.0, 10.4.1, 10.4.2
  • Oracle and Sun Systems Product Suite
  • Oracle Secure Global Desktop, wersje 4.6, 4.7
  • Oracle MySQL Server, wersje 5.1, 5.5, 5.6

 

dodany: 26.06.2013 | tagi: , , ,

Błąd w MySQL zmienił licencję dokumentacji

1

Dosyć łatwo znaleźć głosy oburzenia na Oracle. Nie inaczej stało się, gdy ewangelista MariaDB odkrył, że dokumentacja man nie jest już na licencji GPL. Tymczasem okazało się, że problem jest zgłoszony na bugtrackerze MySQL i nie jest celową zmianą autorstwa Oracle.

Jak zapewnił Tomas Ulin z Oracle, bug zostanie naprawiony, a kody źródłowe z poprawioną licencją udostępnione. Dodał także, że zgłaszanie błędów zawsze jest dobrym sposobem na komunikację z programistami MySQL. Problem najpewniej wynika z przypadkowego przeniesienia stron man z płatnej edycji Enterprise, która nie jest otwartym oprogramowaniem.

Aktualizacja:

Oracle naprawiło błąd w licencjonowaniu bazy danych MySQL. Przebudowano i wgrano od nowa źródła MySQL 5.5.32, MySQL 5.6.12 i MySQL 5.7.1.

dodany: 19.06.2013 | tagi: , , ,

Ważna aktualizacja Javy

0

Oracle wydało zapowiadany zestaw krytycznych poprawek dla Javy. Pakiet ten zawiera aż 40 poprawek. Nie zdziwi zatem nikogo fakt, że biuletyn ma status krytycznego. Aż 37 błędów wiąże się ze zdalnym eksplotitem, który może zostać przeprowadzony bez autentykacji! Zaledwie 3 stanowią lokalne zagrożenie.

Aktualizacji powinni dokonać użytkownicy wszystkich poniższych wersji:

  • JDK oraz JRE 7 w wersji 21 oraz wcześniejszych
  • JDK oraz JRE 6 w wersji 45 oraz wcześniejszych
  • JDK oraz JRE 5.0 w wersji 45 oraz wcześniejszych
  • JavaFX 2.2.21 i poprzednie

Pełna lista poprawek jest dostępna na stronie producenta. Kolejny ważny zestaw poprawek Javy zostanie wprowadzony 15 października tego roku.

 

dodany: 18.05.2013 | tagi: , ,

Nowy system wersjonowania Javy

0

Z powodu znacznej liczby poprawek bezpieczeństwa, które Oracle musiało wprowadzić do Javy, firma została zmuszona do zmiany sposobu wersjonowania aktualizacji. Początkowo przewidywalny system wersji stał się trudny do śledzenia po tym, jak każda krytyczna aktualizacja zwiększała liczbę przeznaczoną nań, w efekcie nachodząc na zaplanowane aktualizacje. Nowy sposób wersjonowania zostanie wprowadzony w JDK 7 i przeniesiony do JDK 5 i 6, jeżeli będzie to konieczne.

Zaplanowane aktualizacje otrzymają teraz wersje będące wielokrotnością liczby 20. Na przykład, następna aktualizacja JDK 7 przynosząca zmiany w funkcjonalności zostanie oznaczona jako 7U40, kolejna 7U60 i tak dalej. Jeżeli konieczne będzie wprowadzenie łatki bezpieczeństwa, wersja będzie obliczana przez dodanie wielokrotności liczby 5 do poprzedniego wydania, na przykład 7U45. Przerwy między wersjami wynikają z ewentualnych nieplanowanych wydań bezpieczeństwa (a znając szczęście Oracle możemy się ich spodziewać często).

Nowy sposób wersjonowania opisany jest jako kompromisowe  tymczasowe rozwiązanie. Długoterminowa wersja nadal jest w planach, ale prawdopodobnie zostanie wprowadzona dopiero w kolejnym wydaniu i ogłoszona wcześniej, aby umożliwić programistom aktualizacje narzędzi opartych na starym formacie wersji.

dodany: 24.04.2013 | tagi: , , , ,

Adam znów atakuje Oracle

0

Oracle tradycyjnie nie naprawiło poprzednio zgłaszanych błędów przez Adama Gowdiaka wydając aktualizację Javy – niestety został spory peleton błędów, wysoce narażających bezpieczeństwo użytkowników.

Nowo odkryty problem niestety dotyczy nie tylko najnowszej wersji 1.7.0_21-b11, ale także poprzednich wydań 7 SE. To już 61 błąd odnaleziony przez Adama Gowdiaka – niestety jest on na tyle poważny, że pozwala na zupełne obejście sandboksa. Na pocieszenie pozostaje fakt, że do tego wymagana jest interakcja użytkownika, który musi zatwierdzić okno informujące o potencjalnie niebezpiecznej aplikacji.

Co ciekawe problem w przeciwieństwie do większości nie dotyczy wyłącznie środowiska uruchomieniowego Java, ale także samego serwera JRE. Oracle co prawda przyjęło zgłoszenie, ale z ich tempem trzeba będzie poczekać na stosowną reakcję. Firma ta nadal bada błędy o numerach 54 i 56 (zobacz newsa: Adam Gowdiak ujawnia szczegóły techniczne błędu w Javie).

dodany: 19.03.2013 | tagi: , , , ,

Adam Gowdiak ujawnia szczegóły techniczne błędu w Javie

0

Niecały miesiąc temu informowaliśmy Was o nowych błędach w Javie, które wykrył kolejny raz Adam Gowdiak (zobacz newsa: Java Second Error Edition raz jeszcze). Z braku reakcji firmy Oracle, Adam postanowił ujawnić szczegóły techniczne słabości numer 54 zgłoszonej firmie Oracle 25 lutego 2013 i uznanej jako „dozwolone zachowanie”, a nie „błąd bezpieczeństwa”. Na stronie firmowej Adama widzimy następującą informację:

Na dzień 18 marca 2013, firma Oracle nie przesłała żadnej informacji wskazującej na to, że słabość 54 jest traktowana przez firmę w kategoriach błędu bezpieczeństwa.

Security Explorations wierzy, że 3 tygodnie (od 25 Lut do 18 Mar) stanowią wystarczający okres, aby jeden z większych producentów oprogramowania ostatecznie potwierdził, bądź zaprzeczył istnieniu zgłoszonego błędu. W szczególności dotyczy to producenta, który był przedmiotem znaczącej krytyki w odniesieniu do prezentowanych kompetencji i szybkości odpowiedzi na błędy bezpieczeństwa odkryte w jego oprogramowaniu. 

Security Explorations opublikowało następujący materiał w nadziei, że szeroka publiczność będzie mogła poddać niezależnej analizie błąd numer 54, jak też ocenić stanowiska obu firm:

  • krótki raport techniczny prezentujący szczegóły błędu, jego znaczenie oraz podsumowanie odpowiedzi producenta, plik PDF, 300KB.

Referencje:

[1]SE-2012-01 Komunikacja z producentami (www.security-explorations.com/pl/SE-2012-01-status.html)

 

Miejmy nadzieję, że może to zmusi Oracle do działania, a nie ciągłej ignorancji na zgłaszane błędy.

dodany: 27.02.2013 | tagi: , , ,

Java Second Error Edition raz jeszcze

0

Ledwo 19 lutego wyszła nowa Java (zobacz newsa: Oracle aktualizuje Javę), a już Adam Gowdiak znalazł w niej dwie poważne luki. Niestety z uwagi na krótki czas od ich wykrycia nie są podane szczegóły problemu, gdyż groziło by to kolejnymi szeroko zakrojonymi atakami. Niewykluczone, że ma to związek z ostatnim atakiem na Facebooka. Wiadomo jedynie, że wiąże się to z możliwością obejścia sandboksa Javy, czyli podstawy prawie każdego środowiska programu JRE.

Adam przedstawił dwa błędy ze stosownymi dowodami na ich istnienie. Są to już odpowiednio 54 i 55 wykryte przez firmę Gowdiaka nieprawidłowości w produkcie Oracle.

Na razie wiadomo jedynie, że firma potwierdziła przyjęcie zgłoszenia wspomnianych luk przez Security Explorations oraz podjęła dochodzenie przyczyny tych problemów. Niestety firma wręcz z tradycją zwleka z ich naprawianiem – na razie udało im się naprawić błąd ze zgłoszenia nr 51.

Jak tylko coś będzie wiadomo w tej kwestii, to na pewno Was poinformujemy.

 

dodany: 20.02.2013 | tagi: , ,

Oracle aktualizuje Javę

2

Oracle wydało aktualizację swojego środowiska Java. Pakiet ten stanowi zestaw krytycznych aktualizacji, czyli tzw. CPU (z ang. Critical Patch Unit). Oracle zapowiedziało wydanie CPU na 19 lutego i tak też się stało, albowiem ukazał się on późnym wtorkowym wieczorem, choć po drodze Oracle przesunęło ten termin – początkowo wspomniany CPU miał się ukazać 2 tygodnie wcześniej… Poprawki dotyczą środowisk od najstarszej wersji 1.4 do najnowszej 7 SE.

Pakiet ten likwiduje 3 poważne dziury, które zostały opisane pod CVE-2013-1484, CVE-2013-1486 i CVE-2013-1487 – wszystkie pozwalają na zdalny atak bez uwierzytelniania. Dziury z CVE-2013-1484 i CVE-2013-1485 były spowodowane błędami w bibliotekach, natomiast problem z CVE-2013-14846 tkwił w komponentach JMX (Java Management Extensions). Wspomniane 3 poważne dziury odkrył Adam Gowdiak.

CVE-2013-0169 dotyczy samej specyfiki protokołu TTL/SSL, a sam problem leżał w komponencie JSSE. Niestety tradycyjnie Oracle nie załatało wszystkich problemów, ale Ci którzy muszą używać pełne błędów środowisko lepiej niech zaktualizują oprogramowanie – większość użytkowników nadal korzysta z zacofanej „szóstki”, która jest wysoce niebezpieczna.

Następny zestaw aktualizacji jest przewidziany na 16 kwietnia.

 

dodany: 22.01.2013 | tagi: , ,

Adam znów zawstydza Oracle

0

Adam Gowdiak, który prowadzi własne badania nad bezpieczeństwem platformy Java, znów postanowił napisać do Oracle. Nie tak dawno ukazało się nowe wydanie Java 7 update 11, a Adam znalazł już w niej dwa poważne błędy. Problem jest w zasadzie ten sam co wcześniej – nadal można obejść zabezpieczenia piaskownicy wirtualnej maszyny Java.

Drugi odnaleziony problem dotyczy rozszerzenia dla Javy MBeanInstantiator – bug ten został zgłoszony pod CVE-2013-0422. Niestety najnowsze wersje najpopularniejszych paczek-eksploitów, tj. Nuclear Pack i Blackhole już wykorzystują tę dziurę. Niestety jest ona o tyle groźna, że pozwala na wykonanie dowolnego kodu.

Łącznie z powyższymi błędami, Adam Gowdiak zgłosił już firmie Oracle 52 błędy i zapewne będzie jeszcze „trochę” tego typu powiadomień.

Zgłoszone przez Adama błędy prawdopodobnie znaleźli jako pierwsi „podziemni” hakerzy, którzy zaczęli sprzedawać gotowy eksploit za 5 tysięcy dolarów (zobacz newsa: Nowa Java i nowy exploit na rynku).

dodany: 14.01.2013 | tagi: , , ,

Oracle wyda jutro ważne łatki

0

Oracle poinformowało o przygotowaniu pakietu krytycznych łatek do swoich istotnych produktów (nie nie Javy w nich nie ma – tu musimy się pogodzić z dwuletnim okresem oczekiwania ;). Poprawki te zostaną wydane 15 stycznia, jako Critical Patch Update Advisory (CPUA).

Nowe CPUA będzie zawierać łącznie 86 łatek, które naprawią poważne problemy produktów tej firmy. Poprawki zostały sklasyfikowane wg systemu wagi błędów CVSS 2.0. Najwyższy wynik 10.0 dotyczy poprawki dla produktu Mobile Server z Oracle Database Mobile/Lite Server.

Przygotowane poprawki będą dotyczyć następujących produktów:

  • Oracle Database 11g Release 2, wersje 11.2.0.2, 11.2.0.3
  • Oracle Database 11g Release 1, wersja 11.1.0.7
  • Oracle Database 10g Release 2, wersje 10.2.0.3, 10.2.0.4, 10.2.0.5
  • Oracle Database Mobile Server, wersja 11.1.0.0
  • Oracle Database Lite Server, wersja 10.3.0.3
  • Oracle Access Manager/Webgate, wersje 10.1.4.3.0, 11.1.1.5.0, 11.1.2.0.0
  • Oracle GoldenGate Veridata, wersja 3.0.0.11.0
  • Management Pack for Oracle GoldenGate, wersja 11.1.1.1.0
  • Oracle Outside In Technology, wersja 8.3.7, 8.4
  • Oracle WebLogic Server, wersje 9.2.4, 10.0.2, 10.3.5, 10.3.6, 12.1.1
  • Application Performance Management wersje 6.5, 11.1, 12.1.0.2
  • Enterprise Manager Grid Control 11g Release 1, wersja 11.1.0.1
  • Enterprise Manager Grid Control 10g Release 1, wersja 10.2.0.5
  • Enterprise Manager Plugin for Database 12c Release 1, wersje 12.1.0.1, 12.1.0.2
  • Oracle E-Business Suite Release 12, wersje 12.0.6, 12.1.1, 12.1.2, 12.1.3
  • Oracle E-Business Suite Release 11i, wersja 11.5.10.2
  • Oracle Agile PLM Framework, wersja 9.3.1.1
  • Oracle PeopleSoft HRMS, wersje 9.0, 9.1
  • Oracle PeopleSoft PeopleTools, wersje 8.51, 8.52
  • Oracle JD Edwards EnterpriseOne Tools, wersje 8.9, 9.1, SP24
  • Oracle Siebel CRM, wersje 8.1.1, 8.2.2
  • Oracle Sun Product Suite
  • Oracle VM Virtual Box, wersje 4.0, 4.1, 4.2
  • Oracle MySQL Server, wersje 5.1.66 i wcześniejsze, 5.5.28 i wcześniejsze

Szczególnie istotne poprawki dotyczą darmowej wersji MySQL Server, do którego zostanie wydanych łącznie 18 łatek, z czego 2 naprawiają wysoce groźne problemy, przez które można uzyskać dostęp do bazy bez uwierzytelniania. Poprawki te zostały oznaczone 9.0 punktami systemu klasyfikacji CVSS.